一家位于加州的医疗创业公司在整个洛杉矶提供COVID-19测试,在一位客户发现允许访问其他人的个人信息的漏洞后,该公司已经关闭了一个用于允许客户访问其测试结果的网站。Total Testing Solutions在整个洛杉矶有10个COVID-19测试点,每周在工作场所、体育场馆和学校处理"数千次"COVID-19测试。
当测试结果准备好后,客户会收到一封电子邮件,其中有一个网站链接,以获得他们的结果。
但一位客户说,他们发现了一个网站漏洞,允许他们通过增加或减少网站地址中的一个数字来访问其他客户的信息。这使得该客户可以看到其他客户的名字和他们的测试日期。该网站也只需要一个人的出生日期就可以访问他们的COVID-19测试结果,发现该漏洞的客户说"不需要很长时间"就可以暴力破解,或者简单地猜测。(对于30岁以下的人来说,这只是11000次生日猜测而已)
虽然测试结果网站有一个登录页面,提示客户提供他们的电子邮件地址和密码,但允许客户更改网址和访问其他客户信息的网站漏洞部分可以直接从网上访问,完全绕过了登录提示。
通过有限的测试发现,该漏洞可能使大约6万个测试处于危险之中。TTS首席医疗官Geoffrey Trenkle确认了这一漏洞,他对穷举破解的漏洞没有异议,但表示该漏洞仅限于一台用于提供传统测试结果的内部服务器,该服务器后来被关闭并被一个新的基于云的系统取代。公司在一份声明中说:"我们最近意识到我们以前的内部服务器存在一个潜在的安全漏洞,它可能允许利用URL操作和出生日期编程代码的组合来访问某些病人的名字和结果。"该漏洞仅限于在创建基于云的服务器之前在公共测试场所获得的病人信息。为了应对这一潜在的威胁,我们立即关闭了企业内部的软件,并开始将这些数据迁移到安全的云端系统,以防止未来数据泄露的风险。我们还启动了漏洞评估,包括审查服务器访问日志,以检测任何未被识别的网络活动或不寻常的认证失败。目前,TTS没有发现由于其先前服务器的问题而导致的任何不安全的受保护健康信息的泄露。据我们所知,实际上没有病人的健康信息被泄露,而且所有的风险都已经被减轻了。"
Total Testing Solution表示将遵守国家法律规定的法律义务,但没有明确表示该公司是否计划通知客户这一漏洞。虽然公司没有义务向本州的总检察长或客户报告漏洞,但许多公司出于谨慎而报告,因为并不总是能够确定是否有不当访问。